sábado, 30 de noviembre de 2019

PHP Eval- Rootme

Seguimos con los retos en rootme, de la categoria web server, uno llamado php eval; 

Utilizamos Burpsuite, buscamos que es php eval, 
 pero la pista mas que atrae al exito es el subtitulo,

Non alphanumeric php code, https://insert-script.blogspot.com/2012/09/non-alpha-numeric-php-code.htmlhttp://www.thespanner.co.uk/2012/08/21/php-nonalpha-tutorial/, tal vez una buena busqueda en nuestro buscador favorito, hasta puedas encontrar el payload; 










jueves, 7 de noviembre de 2019

Xpath injection- Authentication-rootme

Seguimos con los retos de rootme, esta vez llamado XPATH Injection Authentication, mas informacion de este tipo de ataque lo puede encontrar en OWASP, https://www.owasp.org/index.php/XPATH_Injection, o en youtube; 

Herramientas usadas, burpsuite, buscar en google algunos payloads y intentar con intruder para ver si podemos forzar o encontrar el payload correcto para solucionar este reto, como también, se puede hacer en forma manual; 










viernes, 1 de noviembre de 2019

PHP Truncation-Rootme

Dejamos otro reto de la pagina rootme, llamado PHP truncation, que es un tipo de LFI, local file inclusion; con el documento pdf que nos da la pagina del desafio se entendera que es lo que trunca;